Digitalisering har länge varit en möjliggörare i den finansiella sektorn. Men den har också skapat ett starkt beroende av IT-system, molntjänster och externa leverantörer. När systemen ligger nere, eller när en leverantör inte lever upp till säkerhetskraven, kan konsekvenserna bli allvarliga – både operativt och regulatoriskt.
Det är mot denna bakgrund som EU har infört DORA – Digital Operational Resilience Act. För många organisationer uppfattas DORA främst som ett IT- eller compliance-regelverk. I praktiken får det dock minst lika stor påverkan på inköpsarbetet och hur leverantörer väljs, avtalas och följs upp.
Vad är DORA – och varför är det relevant för inköp?
DORA är ett EU-regelverk som ska stärka den digitala operativa motståndskraften i den finansiella sektorn. Regelverket börjar tillämpas fullt ut 2025 och omfattar bland annat banker, försäkringsbolag, fondbolag och betaltjänstleverantörer.
En central del av DORA handlar om tredjepartsrisker – alltså risker som uppstår genom beroendet av externa IT-leverantörer. Eftersom inköp ansvarar för att välja, upphandla och avtala med dessa leverantörer hamnar funktionen mitt i DORA-arbetet.
Inköp går från stöd till strategisk nyckelfunktion
Traditionellt har inköp fokuserat på pris, kvalitet och leverans. Med DORA breddas perspektivet till att även omfatta informationssäkerhet, operativ kontinuitet och regulatoriska krav.
Skärpta krav redan i upphandlingsfasen
DORA gör det tydligt att riskhantering måste ske tidigt. Redan i upphandlingsfasen behöver organisationen identifiera kritiska tjänster, bedöma leverantörsrisker och säkerställa alternativa lösningar.
Avtalen blir ett centralt styrmedel
Standardavtal räcker inte längre. Avtal måste reglera säkerhet, incidenthantering, revisionsrätt, underleverantörer och exitstrategier.
Från årlig uppföljning till löpande kontroll
DORA ställer krav på kontinuerlig uppföljning av kritiska leverantörer. Uppföljningen ska vara dokumenterad och spårbar vid tillsyn.
